セキュリティ制御: ネットワーク セキュリティ

  • [アーティクル]

ネットワーク セキュリティでは、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部からの攻撃の防止と軽減、DNS の保護など、ネットワークをセキュリティで保護するためのコントロールを対象とします。

NS-1: ネットワーク セグメント化の境界を確立する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.12、13.4、4.4 AC-4、SC-2、SC-7 1.1、1.2、1.3

セキュリティ原則: 仮想ネットワークのデプロイが、GS-2 セキュリティ制御で定義されているエンタープライズ セグメント化戦略に合っていることを確認します。 組織のリスクを高める可能性があるワークロードは、分離された仮想ネットワーク内に置く必要があります。

リスクの高いワークロードの例を次に示します。

  • 機密性の高いデータを格納または処理するアプリケーション。
  • 公衆、または組織外のユーザーがアクセスできる外部ネットワークに接続するアプリケーション。
  • セキュリティで保護されていないアーキテクチャを使用しているアプリケーションや、簡単に修復できない脆弱性を含んでいるアプリケーション。

企業のセグメント化戦略を強化するには、ネットワーク制御を使用して内部リソース間のトラフィックを制限または監視します。 適切に定義された特定のアプリケーション (3 層アプリなど) では、これは、ネットワーク トラフィックのポート、プロトコル、送信元 IP、宛先 IP を制限することにより、"既定で拒否、例外的に許可" という安全性の高いアプローチになります。 相互にやり取りしている多くのアプリケーションとエンドポイントがある場合は、トラフィックをブロックすると適切に拡張できなくなり、トラフィックの監視しか行えなくなる場合があります。

Azure ガイダンス: Azure ネットワークの基本的なセグメント化アプローチとして仮想ネットワーク (VNet) を作成して、VM などのリソースをネットワーク境界内の VNet にデプロイできるようにします。 ネットワークをさらにセグメント化するために、より小規模なサブネットワーク用に VNet 内にサブネットを作成できます。

ネットワーク層制御としてネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスでトラフィックを制限または監視します。 「 NS-7: アダプティブ ネットワーク のセキュリティ強化を使用するようにネットワーク セキュリティ構成を簡略化する」を参照して、脅威インテリジェンスとトラフィック分析の結果に基づいて NSG セキュリティ強化規則を推奨します。

また、アプリケーション セキュリティグループ (ASG) を使用して、複雑な構成を簡略化することもできます。 ネットワーク セキュリティ グループの明示的な IP アドレスに基づいてポリシーを定義する代わりに、ASG を使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、仮想マシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: AWS ネットワークの基本的なセグメント化アプローチとして仮想プライベート クラウド (VPC) を作成して、EC2 インスタンスなどのリソースをネットワーク境界内の VPC にデプロイできるようにします。 ネットワークをさらにセグメント化するために、より小さなサブネットワーク用のサブネットを VPC 内に作成できます。

EC2 インスタンスの場合は、ステートフル ファイアウォールとしてセキュリティ グループを使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスによってトラフィックを制限します。 VPC サブネット レベルで、ステートレス ファイアウォールとして Network Access Control List (NACL) を使用して、サブネットへのイングレストラフィックとエグレストラフィックに対する明示的なルールを設定します。

注: VPC トラフィックを制御するには、インターネットとの間のトラフィックが制限されるようにインターネットと NAT ゲートウェイを構成する必要があります。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: GCP ネットワークの基本的なセグメント化アプローチとして仮想プライベート クラウド (VPC) ネットワークを作成し、コンピューティング エンジン仮想マシン インスタンス (VM) などのリソースをネットワーク境界内の VPC ネットワークにデプロイできるようにします。 ネットワークをさらにセグメント化するには、VPC 内に小さなサブネットワーク用のサブネットを作成します。

VPC ファイアウォール規則を分散ネットワークレイヤーコントロールとして使用して、VM、Google Kubernetes Engine (GKE) クラスター、アプリ エンジンの柔軟な環境インスタンスを含む、VPC ネットワーク内のターゲットインスタンスとの間の接続を許可または拒否します。

VPC ファイアウォール規則を構成して、VPC ネットワーク内のすべてのインスタンス、一致するネットワーク タグを持つインスタンス、または特定のサービス アカウントを使用するインスタンスをターゲットにして、インスタンスをグループ化し、それらのグループに基づいてネットワーク セキュリティ ポリシーを定義することもできます。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-2: ネットワーク制御を使用してクラウド ネイティブ サービスをセキュリティで保護する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.12、4.4 AC-4、SC-2、SC-7 1.1、1.2、1.3

セキュリティ原則: リソースのプライベート アクセス ポイントを確立することで、クラウド サービスをセキュリティで保護します。 また、可能であれば、パブリック ネットワークからのアクセスを無効または制限する必要があります。

Azure ガイダンス: Private Link機能をサポートするすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。 Private Linkを使用すると、プライベート接続がパブリック ネットワーク経由でルーティングされなくなります。

注: 一部の Azure サービスでは、サービス エンドポイント機能を介したプライベート通信を許可することもできますが、Azure プラットフォームでホストされているサービスへのセキュリティで保護されたプライベート アクセスには、Azure Private Linkを使用することをお勧めします。

特定のサービスでは、サービスのプライベート アクセス ポイントを確立するように VNET を制限できるサービスに VNet 統合をデプロイすることを選択できます。

また、サービス ネイティブ ネットワーク ACL 規則を構成するか、単にパブリック ネットワーク アクセスを無効にしてパブリック ネットワークからのアクセスをブロックするオプションもあります。

Azure VM の場合、強力なユース ケースがない限り、パブリック IP/サブネットを VM インターフェイスに直接割り当てず、代わりにゲートウェイまたはロード バランサー サービスをパブリック ネットワークによるアクセスのフロントエンドとして使用する必要があります。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: PrivateLink 機能をサポートするすべての AWS リソースに VPC PrivateLink をデプロイし、他の AWS アカウント (VPC エンドポイント サービス) によってホストされているサポートされている AWS サービスまたはサービスへのプライベート接続を許可します。 PrivateLink を使用すると、プライベート接続がパブリック ネットワーク経由でルーティングされなくなります。

特定のサービスでは、サービス インスタンスを独自の VPC にデプロイしてトラフィックを分離することを選択できます。

また、パブリック ネットワークからのアクセスをブロックするようにサービス ネイティブ ACL 規則を構成するオプションもあります。 たとえば、Amazon S3 では、バケットまたはアカウント レベルでパブリック アクセスをブロックできます。

VPC 内のサービス リソースに IP を割り当てる場合、強力なユース ケースがない限り、パブリック IP/サブネットをリソースに直接割り当てず、代わりにプライベート IP/サブネットを使用しないようにする必要があります。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: それをサポートするすべての GCP リソースに VPC プライベート Google Access 実装をデプロイして、リソースのプライベート アクセス ポイントを確立します。 これらのプライベート アクセス オプションは、プライベート接続がパブリック ネットワーク経由でルーティングされないようにします。 プライベート Google Access には、内部 IP アドレスのみを持つ VM インスタンスがあります (外部 IP アドレスはありません)

特定のサービスでは、サービス インスタンスを独自の VPC にデプロイしてトラフィックを分離することを選択できます。 また、パブリック ネットワークからのアクセスをブロックするようにサービス ネイティブ ACL 規則を構成するオプションもあります。 たとえば、アプリ エンジン ファイアウォールを使用すると、アプリ エンジン リソースとの通信時に許可または拒否されるネットワーク トラフィックを制御できます。 Cloud Storage は、個々のバケットまたはorganization レベルでパブリック アクセス防止を適用できるもう 1 つのリソースです。

GCP コンピューティング エンジン VM の場合、強力なユース ケースがない限り、パブリック IP/サブネットを VM インターフェイスに直接割り当てず、代わりにゲートウェイまたはロード バランサー サービスをパブリック ネットワークによるアクセスのフロントエンドとして使用する必要があります。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-3: エンタープライズ ネットワークのエッジでファイアウォールをデプロイする

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.4、4.8、13.10 AC-4、SC-7、CM-7 1.1、1.2、1.3

セキュリティ原則: ファイアウォールをデプロイして、外部ネットワークとの間のネットワーク トラフィックに対して高度なフィルター処理を実行します。 また、内部セグメント間のファイアウォールを使用して、セグメント化戦略をサポートすることもできます。 必要に応じて、セキュリティ制御のためにネットワーク トラフィックを強制的にネットワーク アプライアンス経由する必要がある場合は、サブネットのカスタム ルートを使用してシステム ルートをオーバーライドします。

少なくとも、既知の問題のある IP アドレスと、リモート管理 (RDP や SSH など) やイントラネット プロトコル (SMB や Kerberos など) などの危険度の高いプロトコルをブロックします。

Azure ガイダンス: Azure Firewallを使用して、(ハブ/スポーク トポロジ内の) 多数のエンタープライズ セグメントまたはスポークに対して、完全にステートフルなアプリケーション 層のトラフィック制限 (URL フィルタリングなど) や中央管理を提供します。

ハブ/スポークの設定など、複雑なネットワーク トポロジがある場合は、トラフィックが目的のルートを通過できるように、ユーザー定義ルート (UDR) を作成する必要が生じることがあります。 たとえば、UDR を使用して、特定のAzure Firewallまたはネットワーク仮想アプライアンス経由でエグレス インターネット トラフィックをリダイレクトするオプションがあります。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: AWS ネットワーク ファイアウォールを使用して、(ハブ/スポーク トポロジ内の) 多数のエンタープライズ セグメントまたはスポークに対して、完全にステートフルなアプリケーション層のトラフィック制限 (URL フィルタリングなど) や中央管理を提供します。

ハブ/スポークの設定などの複雑なネットワーク トポロジがある場合は、トラフィックが目的のルートを通過するようにカスタム VPC ルート テーブルを作成する必要がある場合があります。 たとえば、カスタム ルートを使用して、特定の AWS ファイアウォールまたはネットワーク仮想アプライアンス経由でエグレス インターネット トラフィックをリダイレクトするオプションがあります。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: Google Cloud Armor セキュリティ ポリシーを使用して、一般的な Web 攻撃のレイヤー 7 フィルタリングと保護を提供します。 さらに、VPC ファイアウォール規則を使用して、分散された完全ステートフルなネットワーク層トラフィック制限と、多数のエンタープライズ セグメントまたはスポーク (ハブ/スポーク トポロジ内) での中央管理用のファイアウォール ポリシーを提供します。

ハブ/スポークの設定などの複雑なネットワーク トポロジがある場合は、ファイアウォール規則をグループ化し、複数の VPC ネットワークに適用できるように階層構造にするファイアウォール ポリシーを作成します。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-4: 侵入検出および侵入防止システム (IDS/IPS) をデプロイする

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
13.2、13.3、13.7、13.8 SC-7、SI-4 11.4

セキュリティ原則: ネットワーク侵入検出および侵入防止システム (IDS/IPS) を使用して、ワークロードとの間のネットワーク トラフィックとペイロード トラフィックを検査します。 SIEM ソリューションに高品質のアラートを提供できるように、IDS/IPS が常に調整されていることを確認します。

より詳細なホスト レベルの検出と防止機能については、ホスト ベースの IDS/IPS またはホストベースのエンドポイントでの検出と対応 (EDR) ソリューションをネットワーク IDS/IPS と組み合わせて使用します。

Azure ガイダンス: Azure Firewallの IDPS 機能を使用して、仮想ネットワークを保護し、既知の悪意のある IP アドレスとドメインとの間のトラフィックをアラートまたはブロックします。

より詳細なホスト レベルの検出と防止機能については、ホストベースの IDS/IPS や、Microsoft Defender for Endpoint などのホストベースのエンドポイントの検出と対応 (EDR) ソリューションを、ネットワーク IDS/IPS と組み合わせて VM レベルでデプロイします。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: AWS ネットワーク ファイアウォールの IPS 機能を使用して VPC を保護し、既知の悪意のある IP アドレスとドメインとの間のトラフィックをアラートまたはブロックします。

より詳細なホスト レベルの検出と防止機能を実現するために、ホスト ベースの IDS/IPS またはホストベースの IDS/IPS 用のサード パーティソリューションなどのホストベースのエンドポイント検出および応答 (EDR) ソリューションを、ネットワーク IDS/IPS と組み合わせて VM レベルでデプロイします。

注: マーケットプレースからサードパーティの IDS/IPS を使用する場合は、Transit Gateway と Gateway Balancer を使用して、トラフィックをインライン検査に誘導します。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: Google Cloud IDS 機能を使用して、ネットワーク上の侵入、マルウェア、スパイウェア、コマンド アンド コントロール攻撃に対する脅威検出を提供します。 クラウド IDS は、ミラー化された仮想マシン (VM) インスタンスを使用して Google マネージド ピアリング ネットワークを作成することで機能します。 ピアリングされたネットワーク内のトラフィックはミラー化され、組み込みの Palo Alto Networks 脅威保護テクノロジによって検査され、高度な脅威検出が提供されます。 プロトコルまたは IP アドレス範囲に基づいて、すべてのイングレス トラフィックとエグレス トラフィックをミラーできます。

より詳細なホスト レベルの検出と防止機能を実現するには、リージョン内の任意のゾーンからのトラフィックを検査できるゾーン リソースとして IDS エンドポイントをデプロイします。 各 IDS エンドポイントは、ミラー化されたトラフィックを受信し、脅威検出分析を実行します。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-5: DDoS 保護をデプロイする

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
13.10 SC-5、SC-7 1.1、1.2、1.3、6.6

セキュリティ原則: 分散型サービス拒否 (DDoS) 保護を展開して、ネットワークとアプリケーションを攻撃から保護します。

Azure ガイダンス: DDoS Protection Basic は、Azure の基になるプラットフォーム インフラストラクチャ (Azure DNS など) を保護するために自動的に有効になり、ユーザーからの構成は必要ありません。

HTTP フラッドや DNS フラッドなどのアプリケーション層 (レイヤー 7) 攻撃のより高いレベルの保護を実現するには、VNet で DDoS 標準保護プランを有効にして、パブリック ネットワークに公開されているリソースを保護します。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: AWS Shield Standard は、一般的なネットワークとトランスポート層 (レイヤー 3 と 4) DDoS 攻撃からワークロードを保護するための標準軽減策で自動的に有効になります

HTTPS フラッドや DNS フラッドなどのアプリケーションレイヤー (レイヤー 7) 攻撃に対するアプリケーションのより高いレベルの保護を実現するには、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 で AWS Shield Advanced Protection を有効にします。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: Google Cloud Armor には、DDoS 攻撃からシステムを保護するための次のオプションが用意されています。

  • 標準ネットワーク DDoS 保護: ネットワーク ロード バランサー、プロトコル転送、またはパブリック IP アドレスを使用した VM の基本的な常時オン保護。
  • 高度なネットワーク DDoS 保護: パブリック IP アドレスでネットワーク ロード バランサー、プロトコル転送、または VM を使用する Managed Protection Plus サブスクライバーに対する追加の保護。
  • Standard ネットワーク DDoS 保護は常に有効になっています。 高度なネットワーク DDoS 保護は、リージョンごとに構成します。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-6: Web アプリケーション ファイアウォールをデプロイする

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
13.10 SC-7 1.1、1.2、1.3

セキュリティ原則: Web アプリケーション ファイアウォール (WAF) をデプロイし、アプリケーション固有の攻撃から Web アプリケーションと API を保護するための適切な規則を構成します。

Azure ガイダンス: Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) の Web アプリケーション ファイアウォール (WAF) 機能を使用して、ネットワークのエッジでのアプリケーション層攻撃からアプリケーション、サービス、API を保護します。

ニーズと脅威の状況に応じて、WAF を "検出" または "防止モード" に設定します。

OWASP の上位 10 の脆弱性など、組み込みのルールセットを選択し、アプリケーションのニーズに合わせて調整します。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: Amazon CloudFront ディストリビューション、Amazon API Gateway、Application Load Balancer、または AWS AppSync で AWS Web Application Firewall (WAF) を使用して、ネットワークのエッジでのアプリケーション層攻撃からアプリケーション、サービス、API を保護します。

AWS Managed Rules for WAF を使用して組み込みのベースライン グループをデプロイし、ユーザーケース ルール グループのアプリケーションのニーズに合わせてカスタマイズします。

WAF ルールのデプロイを簡略化するために、AWS WAF Security Automations ソリューションを使用して、Web ACL に対する Web ベースの攻撃をフィルター処理する定義済みの AWS WAF ルールを自動的にデプロイすることもできます。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: Google Cloud Armor を使用して、サービス拒否や Web 攻撃からアプリケーションや Web サイトを保護します。

業界標準に基づく Google Cloud Armor の規定外のルールを使用して、一般的な Web アプリケーションの脆弱性を軽減し、OWASP Top 10 からの保護を提供します。

ModSecurity Core Rules (CRS) から取得した複数の署名で構成された WAF 規則をセットアップします。 各シグネチャは、ルールセット内の攻撃検出ルールに対応します。

Cloud Armor は外部ロード バランサーと連携して動作し、アプリケーションが Google Cloud、ハイブリッド デプロイ、マルチクラウド アーキテクチャのいずれにデプロイされているかに関係なく、分散型サービス拒否 (DDoS) やその他の Web ベースの攻撃から保護します。 セキュリティ ポリシーは、構成可能な一致条件とセキュリティ ポリシー内のアクションを使用して、手動で構成できます。 Cloud Armor には、さまざまなユース ケースをカバーする構成済みのセキュリティ ポリシーも用意されています。

Cloud Armor のアダプティブ保護は、バックエンド サービスへのトラフィックのパターンを分析し、疑わしい攻撃を検出してアラートを生成し、そのような攻撃を軽減するための推奨される WAF ルールを生成することで、L7 分散攻撃からアプリケーションとサービスを防止、検出、保護するのに役立ちます。 これらのルールは、ニーズに合わせて微調整できます。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-7: ネットワーク セキュリティの構成を簡略化する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.4、4.8 AC-4、SC-2、SC-7 1.1、1.2、1.3

セキュリティ原則: 複雑なネットワーク環境を管理する場合は、ツールを使用して、ネットワーク セキュリティ管理を簡素化、一元化、強化します。

Azure ガイダンス: 次の機能を使用して、仮想ネットワーク、NSG ルール、およびAzure Firewallルールの実装と管理を簡略化します。

  • Azure Virtual Network Manager を使用して、リージョンとサブスクリプション間で仮想ネットワークと NSG ルールをグループ化、構成、デプロイ、管理します。
  • Microsoft Defender for Cloud アダプティブ ネットワークのセキュリティ強化機能を使用して、脅威インテリジェンスとトラフィック分析の結果に基づいてポート、プロトコル、送信元 IP をさらに制限する NSG セキュリティ強化機能ルールを推奨します。
  • Azure Firewall Manager を使用して、仮想ネットワークのファイアウォール ポリシーとルート管理を一元化します。 ファイアウォール規則とネットワーク セキュリティ グループの実装を簡略化するために、Azure Firewall Manager Azure Resource Manager(ARM) テンプレートを使用することもできます。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: AWS Firewall Manager を使用して、次のサービス全体でネットワーク保護ポリシー管理を一元化します。

  • AWS WAF ポリシー
  • AWS Shield の高度なポリシー
  • VPC セキュリティグループポリシー
  • ネットワーク ファイアウォール ポリシー

AWS Firewall Manager では、ファイアウォール関連のポリシーを自動的に分析し、準拠していないリソースと検出された攻撃の結果を作成し、調査のために AWS Security Hub に送信できます。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: 仮想プライベート クラウド (VPC) ネットワーク、ファイアウォール規則、WAF 規則の実装と管理を簡略化するには、次の機能を使用します。

  • VPC ネットワークを使用して、個々の VPC ネットワークと VPC ファイアウォール規則を管理および構成します。
  • 階層型ファイアウォール ポリシーを使用して、ファイアウォール規則をグループ化し、グローバルまたはリージョン規模でポリシー規則を階層的に適用します。
  • Google Cloud Armor を使用して、カスタム セキュリティ ポリシー、事前構成済みの WAF ルール、DDoS 保護を適用します。

ネットワーク インテリジェンス センターを使用してネットワークを分析し、仮想ネットワーク トポロジ、ファイアウォール規則、ネットワーク接続状態に関する分析情報を取得して、管理効率を向上させることもできます。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-8: セキュリティで保護されていないサービスとプロトコルを検出して無効にする

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.4、4.8 CM-2、CM-6、CM-7 4.1、A2.1、A2.2、A2.3

セキュリティ原則: OS、アプリケーション、またはソフトウェア パッケージレイヤーで安全でないサービスとプロトコルを検出して無効にします。 セキュリティで保護されていないサービスとプロトコルを無効にできない場合は、補完的な制御をデプロイします。

Azure ガイダンス: Microsoft Sentinel の組み込みの安全でないプロトコル ブックを使用して、SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、Kerberos の脆弱な暗号、署名されていない LDAP バインドなどの安全でないサービスとプロトコルの使用を検出します。 適切なセキュリティ標準を満たしていない安全でないサービスとプロトコルを無効にします。

注: セキュリティで保護されていないサービスまたはプロトコルを無効にできない場合は、ネットワーク セキュリティ グループ、Azure Firewall、または Azure Web Application Firewall を介してリソースへのアクセスをブロックするなどの補完的な制御を使用して、攻撃対象領域を減らします。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: VPC フローログを有効にし、GuardDuty を使用して VPC フローログを分析し、適切なセキュリティ標準を満たしていない可能性のある安全でないサービスとプロトコルを特定します。

AWS 環境のログを Microsoft Sentinel に転送できる場合は、Microsoft Sentinel の組み込みのセキュリティで保護されていないプロトコル ブックを使用して、安全でないサービスとプロトコルの使用を検出することもできます。

注: セキュリティで保護されていないサービスまたはプロトコルを無効にできない場合は、セキュリティ グループ、AWS ネットワーク ファイアウォール、AWS Web Application Firewallを介してリソースへのアクセスをブロックするなどの補正制御を使用して、攻撃対象領域を減らします。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: VPC フロー ログを有効にし、BigQuery またはセキュリティ コマンド センターを使用して VPC フロー ログを分析し、適切なセキュリティ標準を満たしていない可能性のある安全でないサービスとプロトコルを特定します。

GCP 環境のログを Microsoft Sentinel に転送できる場合は、Microsoft Sentinel の組み込みの安全でないプロトコル ブックを使用して、セキュリティで保護されていないサービスとプロトコルの使用を検出することもできます。 さらに、ログを Google Cloud Chronicle SIEM と SOAR に転送し、同じ目的でカスタム ルールを構築できます。

注: 安全でないサービスまたはプロトコルを無効にできない場合は、VPC ファイアウォールの規則とポリシーを使用してリソースへのアクセスをブロックする、Cloud Armor などの補正制御を使用して攻撃対象領域を減らします。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-9: オンプレミスまたはクラウド ネットワークをプライベートに接続する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
12.7 CA-3、AC-17、AC-4 該当なし

セキュリティ原則: クラウド サービス プロバイダーのデータセンターやコロケーション環境のオンプレミス インフラストラクチャなど、さまざまなネットワーク間のセキュリティで保護された通信にプライベート接続を使用します。

Azure ガイダンス: 軽量のサイト間接続またはポイント対サイト接続の場合は、Azure 仮想プライベート ネットワーク (VPN) を使用して、オンプレミス サイトまたはエンド ユーザー デバイスと Azure 仮想ネットワークの間にセキュリティで保護された接続を作成します。

エンタープライズ レベルのハイ パフォーマンス接続の場合は、Azure ExpressRoute (またはVirtual WAN) を使用して、共同場所環境で Azure データセンターとオンプレミス インフラストラクチャを接続します。

2 つ以上の Azure 仮想ネットワークを接続するには、仮想ネットワーク ピアリングを使用します。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure のバックボーン ネットワーク上に保持されます。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: サイト間接続またはポイント対サイト接続の場合は、AWS VPN を使用して、AWS ネットワークへのオンプレミス サイトまたはエンド ユーザー デバイスの間に安全な接続を作成します (IPsec オーバーヘッドが問題でない場合)。

エンタープライズ レベルのハイ パフォーマンス接続の場合は、AWS Direct Connect を使用して、AWS VPC とリソースを、コロケーション環境のオンプレミス インフラストラクチャに接続します。

VPC ピアリングまたはトランジットゲートウェイを使用して、リージョン内またはリージョン間で複数の VPC 間の接続を確立するオプションがあります。 ピアリングされた VPC 間のネットワーク トラフィックはプライベートであり、AWS バックボーン ネットワーク上に保持されます。 複数の VPC を結合して大きなフラットサブネットを作成する必要がある場合は、VPC 共有を使用することもできます。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: 軽量のサイト間接続またはポイント対サイト接続の場合は、Google Cloud VPN を使用します。

エンタープライズ レベルのハイ パフォーマンス接続の場合は、Google Cloud Interconnect または Partner Interconnect を使用して、コロケーション環境のオンプレミス インフラストラクチャを使用して Google Cloud VPN とリソースに接続します。

VPC ネットワーク ピアリングまたはネットワーク接続センターを使用して、リージョン内またはリージョン間で複数の VPC 間の接続を確立するオプションがあります。 ピアリングされた VPC 間のネットワーク トラフィックはプライベートであり、GCP バックボーン ネットワーク上に保持されます。 複数の VPC を結合して大きなフラット サブネットを作成する必要がある場合は、共有 VPC を使用するオプションもあります

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-10: ドメイン ネーム システム (DNS) のセキュリティを確保する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.9、9.2 SC-20、SC-21 なし

セキュリティ原則: ドメイン ネーム システム (DNS) のセキュリティ構成が既知のリスクから保護されていることを確認します。

  • クラウド環境全体で信頼できる権限のある再帰 DNS サービスを使用して、クライアント (オペレーティング システムやアプリケーションなど) が正しい解決結果を確実に受け取るようにします。
  • プライベート ネットワークの DNS 解決プロセスをパブリック ネットワークから分離できるよう、パブリック DNS 解決とプライベート DNS 解決を分離します。
  • DNS セキュリティ戦略に、ダングリング DNS、DNS アンプ攻撃、DNS ポイズニング、スプーフィングなどの一般的な攻撃に対する軽減策も含まれていることを確認します。

Azure ガイダンス: AZURE 再帰 DNS (通常は DHCP を介して VM に割り当てられるか、サービスで事前構成済み) またはワークロードの再帰的 DNS セットアップ (VM のオペレーティング システムやアプリケーションなど) で信頼された外部 DNS サーバーを使用します。

Azure プライベート DNSを使用して、DNS 解決プロセスが仮想ネットワークから離れないプライベート DNS ゾーンのセットアップを行います。 カスタム DNS を使用して、クライアントへの信頼された解決のみを許可するように DNS 解決を制限します。

ワークロードまたは DNS サービスに対する次のセキュリティ上の脅威に対する高度な保護には、DNS のMicrosoft Defenderを使用します。

  • Azure リソースからのデータ流出 (DNS トンネリングを使用)
  • コマンド アンド コントロール サーバーと通信するマルウェア
  • フィッシングや暗号マイニングなどの悪意のあるドメインとの通信
  • 悪意のある DNS リゾルバとの通信での DNS 攻撃

また、App ServiceのMicrosoft Defenderを使用して、DNS レジストラーからカスタム ドメインを削除せずにApp Service Web サイトを使用停止にした場合に、未解決の DNS レコードを検出することもできます。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: Amazon DNS サーバー (つまり、通常は DHCP 経由で割り当てられるか、サービスで事前に構成されている Amazon Route 53 リゾルバー サーバー) またはワークロード再帰 DNS セットアップ (VM のオペレーティング システムやアプリケーションなど) で一元化された信頼された DNS リゾルバー サーバーを使用します。

Amazon Route 53 を使用して、DNS 解決プロセスが指定された VPC から離れないプライベートホストゾーン設定を作成します。 Amazon Route 53 ファイアウォールを使用して、次のユース ケースに対して VPC の送信 DNS/UDP トラフィックを規制およびフィルター処理します。

  • VPC での DNS 流出などの攻撃を防ぐ
  • アプリケーションでクエリを実行できるドメインの許可または拒否リストを設定する

Amazon Route 53 でドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) 機能を構成して、DNS トラフィックをセキュリティで保護して、DNS スプーフィングや中間者攻撃からドメインを保護します。

Amazon Route 53 には DNS 登録サービスも用意されています。このサービスでは、Route 53 をドメインの権限のあるネーム サーバーとして使用できます。 ドメイン名のセキュリティを確保するには、次のベスト プラクティスに従う必要があります。

  • ドメイン名は、Amazon Route 53 サービスによって自動的に更新されます。
  • ドメイン名をセキュリティで保護するために、転送ロック機能を有効にする必要があります。
  • 送信者ポリシー フレームワーク (SPF) を使用して、スパマーによるドメインのスプーフィングを停止する必要があります。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: ワークロードの再帰的 DNS セットアップ (VM のオペレーティング システムやアプリケーションなど) では、GCP DNS サーバー (通常は DHCP を介して VM に割り当てられるメタデータ サーバー、またはサービスで事前に構成されているメタデータ サーバー) または一元化された信頼された DNS リゾルバー サーバー (Google パブリック DNS など) を使用します。

GCP クラウド DNS を使用してプライベート DNS ゾーンを作成します。このゾーンでは、DNS 解決プロセスによって、不要な VPC が残りません。 VPC のアウトバウンド DNS/UDP トラフィックを制限してフィルター処理するには、次のユース ケースを実行します。

  • VPC での DNS 流出などの攻撃を防ぐ
  • アプリケーションでクエリを実行するドメインの許可リストまたは拒否リストを設定する

クラウド DNS でドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) 機能を構成して DNS トラフィックをセキュリティで保護し、DNS スプーフィングや中間者攻撃からドメインを保護します。

Google Cloud Domains では、ドメイン登録サービスが提供されます。 GCP クラウド DNS は、ドメインの権限のあるネーム サーバーとして使用できます。 ドメイン名のセキュリティを確保するには、次のベスト プラクティスに従う必要があります。

  • ドメイン名は、Google Cloud Domains によって自動的に更新される必要があります。
  • ドメイン名をセキュリティで保護するために、転送ロック機能を有効にする必要があります
  • 送信者ポリシー フレームワーク (SPF) を使用して、スパマーによるドメインのスプーフィングを停止する必要があります。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):